Quantcast
Privacy Policy - IT | Praxidia

NORME TUTELA PRIVACY

  1. Scopo

La Politica sulla privacy e sulla protezione dei dati del Gruppo Praxidia (“la Politica”) esprime il forte impegno di Praxidia a rispettare e proteggere la privacy di ogni persona fisica, suoi dipendenti e clienti. Tutti i dipendenti delle società del Gruppo (“Società Praxidia” o “Praxidia”) devono attenersi a questa politica.

2. Safe Harbor

Il Dipartimento del commercio degli Stati Uniti e la Commissione europea hanno concordato una serie di principi di protezione dei dati e di gestione delle domande poste frequentemente, che consentono alle società statunitensi di proteggere i Dati Personali trasferiti dall’Area Economica Europea (“EEA”) agli Stati Uniti in conformità con le leggi nell’Unione europea (“US-UE Safe Harbor Framework”).  Il Dipartimento del commercio degli Stati Uniti e l’Autorità federale svizzera per la protezione dei dati e delle informazioni hanno concordato una serie analoga di principi e di gestione delle domande poste frequentemente, che consentono alle società statunitensi di proteggere i Dati Personali trasferiti dalla Svizzera agli Stati Uniti in conformità con le leggi svizzere (“U.S.—Swiss Safe Harbor Framework”).

TPUSA, Inc. (società statunitense di Praxidia) aderisce all’US-UE. Safe Harbor Framework e US-Swiss Safe Harbor Framework come stabilito dal Dipartimento del Commercio degli Stati Uniti.

Per ulteriori informazioni sul Programma Safe Harbor, consultare il sito Web del Dipartimento del Commercio degli Stati Uniti all’indirizzo http://www.export.gov/safeharbor/

3.  Ambito

Le normative e i requisiti di protezione della privacy contenuti in questa Politica si applicano a tutte le società Praxidia che si occupano di trattamento, raccolta, archiviazione o trasferimento di Dati Personali, agendo come Responsabili o Titolari del trattamento dati.

Tutte le società Praxidia devono prima di tutto rispettare le loro leggi e normative locali e, in caso di conflitto tra le loro leggi locali e questa Politica, le leggi locali prevarranno.

4.  Definizioni

“Titolare del trattamento”indica la società o la persona fisica che determina gli scopi, il contenuto, l’uso e i mezzi per il trattamento dei Dati Personali.

“Interessato”indica la persona fisica alla quale appartengono i dati oggetto del trattamento, indicato come Trattamento.

“Responsabile del trattamento”indica la società o la persona fisica che trattai Dati Personali per conto del Titolare del trattamento.

“Consenso dell’interessato”indica qualsiasi indicazione data liberamente, inequivocabile, specifica e informata della volontà dell’interessato di acconsentire al trattamento dei Dati Personali che lo riguardano.

“Paese terzo amico” indica, ai fini del trasferimento di dati al di fuori del SEE, qualsiasi paese che si trova al di fuori dello Spazio economico europeo (SEE) ma che garantisce un livello adeguato di protezione, l’elenco dei quali è disponibile presso: http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

“Paese non amico”indica, ai fini del trasferimento dei dati al di fuori del SEE, qualsiasi paese che non si trova all’interno del SEE o qualsiasi altro paese che non è un Paese terzo amico.

“Dati Personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile (ogni ”Interessato”); si considera identificabile una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un numero di riferimento o a uno o più elementi caratteristici della sua identità fisica, fisiologica, mentale, economica, culturale o sociale.

“Trattamento”, in relazione a informazioni o dati, indica raccolta, registrazione o conservazione di informazioni o dati o esecuzione di qualsiasi operazione o insieme di operazioni sulle informazioni o sui dati, con mezzi automatici o meno, che includono l’organizzazione, l’archiviazione, l’adattamento o la modifica delle informazioni o dei dati; il recupero, la consultazione o l’uso delle informazioni o dei dati; la divulgazione delle informazioni o dei dati mediante trasmissione, diffusione o altri modi per renderli disponibili; o l’allineamento, la combinazione, il blocco, la cancellazione o la distruzione delle informazioni o dei dati.

5.  Trattamento dei Dati Personali

5.1.      Scopo del trattamento dei Dati Personali
Praxidia può trattare Dati e Informazioni Personali che sono ragionevolmente adeguati e pertinenti ai seguenti scopi applicabili: 

1. Per le procedure in materia di risorse umane e di gestione del personale che possono includere reclutamento, pianificazione della forza lavoro, formazione e gestione delle prestazioni, salari e benefit, gestione ferie e benefit, distribuzione buste paga, gestione delle informazioni e delle competenze sui dipendenti, indagini sui dipendenti, colloqui e procedure di uscita , salute e sicurezza. In tal caso, la società Praxidia funge da Titolare del trattamento.

2. Per Dati Personali del personale di fornitori e venditori, collaboratori, clienti, potenziali clienti e visitatori. Anche in tal caso, la società Praxidia funge da Titolare del trattamento. 

3. Per l’esecuzione di processi aziendali e processi di gestione che possono includere qualsiasi attività o servizio svolto dalla società Praxidia per conto o per il cliente. In tal caso, la società Praxidia funge da Responsabile del trattamento.

5.2.      Regole da seguire durante il trattamento dei Dati Personali
Ogni società Praxidia e i suoi dipendenti, compresi i suoi fornitori, in materia di trattamento dei Dati Personali deve osservare i seguenti principi:

1. I Dati Personali devono essere trattati in modo equo e lecito.

2. I Dati Personali devono essere raccolti per uno o più scopi specificati e leciti e non possono essere trattati in modo incompatibile con tali scopi. L’ulteriore trattamento dei dati per scopi storici, statistici o scientifici non sarà considerato incompatibile.

3. La raccolta di Dati Personali deve essere adeguata, pertinente e non eccedente rispetto alle finalità per le quali i dati sono trattati.

4. I Dati Personali devono essere precisi e aggiornati in modo tale da fornire un quadro fedele della situazione attuale dell’interessato.

5. I Dati Personali non devono essere conservati più a lungo del necessario. I dati devono essere eliminati quando non sono più necessari o pertinenti per lo scopo per il quale erano stati ottenuti o registrati.

6. Devono essere prese adeguate misure tecniche e organizzative contro il trattamento non autorizzato o illecito di Dati Personali nonché contro la perdita accidentale, la distruzione o il danneggiamento di tali dati.

7. I Dati Personali non devono essere trasferiti al di fuori del paese nel quale sono stati originati, a meno che tale trasferimento non sia conforme alla Sezione 5 di questa Politica.

8. È vietata la raccolta di dati con mezzi fraudolenti, sleali o illeciti.

5.3.      Regole aggiuntive da seguire quando le società Praxidia fungono da Titolari del trattamento
Le società Praxidia, quando fungono da Titolari del trattamento, devono soddisfare i seguenti requisiti aggiuntivi: 

1. Notifica o registrazione presso l’Autorità competente per la protezione dei dati, quando richiesto dalle rispettive leggi locali sulla privacy;

2. Il consenso al trattamento dei Dati Personali deve essere dato in primo luogo dall’interessato, prima della raccolta, trattamento o archiviazione dei Dati Personali, salvo diversamente stabilito dalla legge. Ogni Interessato deve essere informato dello scopo per il quale i Dati Personali sono raccolti, archiviati o trattati;

3. Le Società Praxidia forniranno all’Interessato l’identità e l’indirizzo del Titolare del trattamento o del suo eventuale rappresentante; le finalità del trattamento, i destinatari o le categorie di destinatari dei dati, l’esistenza del diritto di accesso e del diritto di rettificare, cancellare e contestare i dati che lo riguardano.

4.  Trasferimento internazionale di Dati Personali

6.  Questa sezione copre diverse ipotesi di trasferimento di Dati Personali:

• a. Trasferimento all’interno del SEE o dal SEE a un paese terzo amico;

• b. Trasferimento di Dati Personali dal SEE a un paese non amico;

• c. Trasferimento transfrontaliero (da un paese non facente parte del SEE).

6.1.      Trasferimento all’interno del SEE o dal SEE a un paese terzo amico
Questa sezione descrive il trasferimento di Dati Personali che saranno trattati da Praxidia per conto di un cliente all’interno del SEE o il trasferimento di Dati Personali da una società Praxidia come Titolare del trattamento a terze parti all’interno del SEE, compreso il trasferimento a un terza società Praxidia. Un esempio può includere Dati Personali da un cliente (ogni Interessato) di un acquirente di servizi (che funge da Titolare del trattamento) servito da Praxidia (che funge da Responsabile del trattamento) nei call centre in Francia, Germania e Spagna. I Dati Personali possono essere raccolti in Spagna da una società Praxidia in Francia e possono essere memorizzati in un server in Germania. Il trasferimento di Dati Personali dalla Spagna alla Francia e alla Germania è un trasferimento di Dati Personali all’interno del SEE per via del fatto che tutti questi paesi appartengono al SEE.

Il consenso da parte dell’Interessato al trasferimento non è necessario quando il trasferimento di Dati Personali (tra il Titolare del trattamento e il Responsabile del trattamento o tra il Responsabile del trattamento per conto del Titolare del trattamento a un terzo Responsabile del trattamento) viene effettuato all’interno di paesi membri del SEE .

Il trasferimento di Dati Personali (tra il Titolare del trattamento e il Responsabile del trattamento o tra il Responsabile del trattamento per conto del Titolare del trattamento a un terzo Responsabile del trattamento) a un paese terzo amico è permesso.  L’elenco dei paesi terzi amici è disponibile all’indirizzo: http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm.  Il trasferimento di Dati Personali agli Stati Uniti d’America (USA) è consentito se le Società statunitensi hanno aderito al (US-EU) Safe Harbor.

 6.2.      Trasferimento di Dati Personali dal SEE a un paese non amico
Questa sezione descrive il trasferimento di Dati Personali che verranno trattati da una società Praxidia o da un fornitore di servizi per conto di una società Praxidia situata in un Paese non amico o il trasferimento di Dati Personali da una società Praxidia come Titolare del trattamento a una terza parte, inclusa un’altra terza società Praxidia in un Paese non amico. Un esempio può includere il trasferimento di Dati Personali da una società Praxidia in Francia a una società Praxidia nelle Filippine.  Un altro esempio potrebbe includere una società Praxidia servita da un fornitore di servizi in India.

Nei casi in cui i Dati Personali devono essere trasferiti in un Paese non amico, è necessario osservare i seguenti principi:

a.          Valutare se il paese di destinazione garantisce un livello adeguato di protezione dei Dati Personali utilizzando i seguenti fattori:
         i.            misura in cui vengono adottate le leggi sulla privacy;
         ii.          modi per assicurarsi che le normative siano rispettate nella pratica; e
         iii.          Procedura efficace affinché le persone fisiche possano far rispettare i loro diritti o ottenere un risarcimento nel caso si verifichino dei problemi.

b.          Le società Praxidia devono compiere sforzi ragionevoli per incorporare nei loro contratti commerciali le clausole contrattuali standard appropriate emesse dalla Commissione europea, che offrono garanzie adeguate in relazione a (i) la tutela della privacy e (ii) i diritti e le libertà fondamentali delle persone fisiche per quanto riguarda l’esercizio dei diritti fondamentali e, ove necessario, l’autorizzazione preventiva da parte dell’Agenzia locale per la protezione dei dati.

c.          Determinare se è necessario ottenere il consenso dall’Interessato per il trasferimento dei Dati Personali.

6.3.      Trasferimento di Dati Personali attraverso i confini

a. Qualsiasi trasferimento di Dati Personali da un paese (non appartenente alla EEA) a qualsiasi altro paese deve essere conforme alle leggi locali sulla protezione della privacy dei dati del paese di origine.
               i.          È necessario determinare i requisiti per il trattamento dei Dati Personali ai sensi delle rispettive leggi locali sulla privacy dei dati come la registrazione o la notifica al garante locale della privacy, ottenendo il consenso dell’Interessato o la conformità a specifici requisiti di sicurezza.
               ii.          È necessario determinare se il paese ricevente prevede anche un livello adeguato di protezione della riservatezza dei Dati Personali.
b.           La società Praxidia deve sempre attenersi ai principi stabiliti nella Sezione 4 di questo documento per il trattamento di informazioni o Dati Personali. 
c.          In tutti i casi, Praxidia deve garantire che il trasferimento o il trattamento dei Dati Personali avvenga con sicurezza e      protezione adeguate e ragionevoli. Occorre garantire che l’ente ricevente o qualsiasi fornitore terzo fornisca lo stesso livello adeguato di protezione.

7.  Conservazione dei Dati

L’archiviazione dei Dati Personali da parte delle società Praxidia deve essere effettuata in conformità con le seguenti regole:


a.          Deve essere riesaminato periodicamente il ragionevole lasso di tempo durante il quale vengono conservati i Dati Personali;
b.          Tale conservazione deve essere conforme allo scopo per cui è stata effettuata e non deve essere mantenuta dopo che gli scopi sono stati raggiunti;
c.          I Dati Personali conservati devono essere precisi, archiviati e aggiornati e devono essere cancellati in modo sicuro una volta scaduti. È responsabilità dell’Interessato informare Praxidia di qualsiasi inesattezza o aggiornamento dei propri Dati Personali. Tuttavia, Praxidia compierà ogni sforzo commercialmente ragionevole per mantenere il proprio database il più preciso e aggiornato possibile.


Laddove la società Praxidia condivide i Dati Personali tra le sue controllate, tali società controllate devono stabilire cosa fare con tali Dati Personali una volta che non hanno più bisogno di condividere le informazioni.

8.  Sicurezza delle informazioni:

a.          Le società Praxidia devono garantire che solo le persone autorizzate possano accedere, alterare, divulgare o distruggere i Dati Personali e che tali soggetti agiscono esclusivamente nell’ambito della loro autorità in relazione ai Dati Personali.  Deve essere creato un sistema per (i) proteggere i Dati Personali da perdite accidentali, alterazioni o distruzione e (ii) fare in modo che tali Dati Personali siano recuperabili per prevenire qualsiasi danno o motivi di preoccupazione per gli Interessati.


b.          Devono essere poste misure di salvaguardia per proteggere i Dati Personali, che possono includere garanzie fisiche e ambientali quali controlli delle strutture, postazioni di lavoro e integrità di accesso; sicurezza informatica come dispositivi di sicurezza e crittografia; consapevolezza dei dipendenti in materia di sicurezza, come il nuovo training di assunzione e formazione. Ogni società Praxidia deve implementare una valutazione dei rischi e deve essere responsabile per l’organizzazione, le politiche, le procedure e i requisiti di documentazione.


c.          I requisiti di sicurezza delle leggi locali sulla privacy possono variare da paese a paese e quindi gli standard IT devono essere conformi ai requisiti locali e contrattuali. Pertanto, i responsabili della sicurezza delle informazioni devono sempre fare riferimento e tenersi aggiornati per quanto riguarda le normative di sicurezza specifiche o locali applicabili in materia di sicurezza dei Dati Personali.


d.          In caso di qualsiasi violazione dei Dati Personali, le società Praxidia devono adottare un piano di gestione delle violazioni che includa almeno quanto segue:
             i.            Contenimento e risanamento delle violazioni – Praxidia deve risolvere l’incidente applicando un piano di risanamento e, ove necessario, procedure per limitare i danni.
             ii.          Valutazione dei rischi – Praxidia deve valutare i rischi associati, come le conseguenze negative per le persone fisiche; gravità della violazione; e rischio di ripetizione.
            iii.          Notifica della violazione – Praxidia deve informare le persone interessate di una violazione della sicurezza delle informazioni, l’autorità competente per la protezione dei dati ed altre parti coinvolte come la polizia e le banche, a seconda dei casi.
            iv.          Valutazione del processo – È necessario condurre un’indagine per determinare la causa della violazione e valutare l’efficacia delle azioni di risposta intraprese. Le politiche e le procedure devono essere seguite di conseguenza.

9.  Cooperazione con le Autorità per la Protezione dei Dati

È un dovere da parte di tutte le società Praxidia e dei loro dipendenti di collaborare e rispondere diligentemente e adeguatamente a fronte di qualsiasi inchiesta o richiesta presentata da Autorità locali per la protezione dei dati.  Tale richiesta può includere un audit o la richiesta che le società Praxidia siano sottoposte a audit, se ritenuto necessario, e di conformarsi al parere delle Autorità per la protezione dei dati in merito a qualsiasi problema relativo a tali normative o rispetto delle leggi sulla privacy.

10.  Sanzioni

Qualsiasi dipendente che abbia tentato di violare, o abbia violato presumibilmente o effettivamente questa Politica, per negligenza o cattiva condotta intenzionale, sarà soggetto a sanzioni disciplinari a sola discrezione della società Praxidia fino e compresa la cessazione del rapporto di lavoro, in conformità con le leggi applicabili. 

Close Menu